JP2019506674A5 - - Google Patents

Download PDF

Info

Publication number
JP2019506674A5
JP2019506674A5 JP2018538236A JP2018538236A JP2019506674A5 JP 2019506674 A5 JP2019506674 A5 JP 2019506674A5 JP 2018538236 A JP2018538236 A JP 2018538236A JP 2018538236 A JP2018538236 A JP 2018538236A JP 2019506674 A5 JP2019506674 A5 JP 2019506674A5
Authority
JP
Japan
Prior art keywords
captured
subset
data
matched
framework
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2018538236A
Other languages
Japanese (ja)
Other versions
JP2019506674A (en
JP6902037B2 (en
Filing date
Publication date
Application filed filed Critical
Priority claimed from PCT/US2017/014354 external-priority patent/WO2017127691A1/en
Publication of JP2019506674A publication Critical patent/JP2019506674A/en
Publication of JP2019506674A5 publication Critical patent/JP2019506674A5/ja
Application granted granted Critical
Publication of JP6902037B2 publication Critical patent/JP6902037B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Description

本発明を例示的な実施形態を参照しながら具体的に図示・説明してきたが、当業者であれば、特許請求の範囲に包含される本発明の範囲を逸脱することなく形態や細部に様々な変更が施されてもよいことを理解するであろう。
なお、本発明は、実施の態様として以下の内容を含む。
〔態様1〕
コンピュータに実装される方法であって、
ウェブフェーシングアプリケーションのフレームワークで受信されたデータストリームを捕捉する過程と、
前記データストリームを処理する前記フレームワークによって起動される関数の第1の関数セットを捕捉する過程と、
捕捉された前記第1の関数セットのサブセットを、捕捉された前記データストリームのデータパケットと照合する過程と、
捕捉された前記第1の関数セットのうちの適合した前記サブセットと前記データパケットのデータとを、データセットに抽出する過程と、
セキュリティ攻撃を検知するために、抽出された前記データセットに基づいて前記ウェブフェーシングアプリケーションの活動を探査する過程と、
を備える、方法。
〔態様2〕
態様1に記載の方法において、さらに、
前記データストリームを処理する前記フレームワークによって起動される関数の第2の関数セットを捕捉する過程と、
データベースサーバへのデータベースクエリであって、前記フレームワークにより生成されるデータベースクエリを捕捉する過程と、
捕捉された少なくとも1つの前記データベースクエリを、捕捉された前記第2の関数セットのサブセットと照合する過程と、
捕捉されたデータベースクエリであって、適合した少なくとも1つの前記データベースクエリと、捕捉された前記第2の関数セットのうちの適合した前記サブセットとを、抽出された前記データセットに抽出する過程と、
を備える、方法。
〔態様3〕
態様2に記載の方法において、さらに、
適合した前記データパケット、捕捉された前記第1の関数セットのうちの適合した前記サブセット、捕捉された前記第2の関数セットのうちの適合した前記サブセット、および前記少なくとも1つのデータベースクエリの間の関係を相関させる過程であって、捕捉された前記第1の関数セットのうちの適合した前記サブセット、捕捉された前記第2の関数セットのうちの適合した前記サブセットおよび前記少なくとも1つのデータベースクエリを処理するのに用いられるスレッドを追跡することに基づく、相関させる過程と、
前記データセット内における、適合した前記データパケット、捕捉された前記第1の関数セットのうちの適合した前記サブセット、捕捉された前記第2の関数セットのうちの適合した前記サブセット、および前記少なくとも1つのデータベースクエリを、相関された前記関係に基づいてマッピングする過程と、
前記ウェブフェーシングアプリケーションの活動を、抽出された前記データセット内における、適合した前記データパケット、捕捉された前記第1の関数セットのうちの適合した前記サブセット、捕捉された前記第2の関数セットのうちの適合した前記サブセット、および前記少なくとも1つのデータベースクエリの前記マッピングに基づいて探査する過程と、
を備える、方法。
〔態様4〕
態様3に記載の方法において、捕捉された前記少なくとも1つのデータベースクエリを照合する前記過程が、前記第2の関数セットの捕捉された前記サブセットにおける少なくとも1つの捕捉された関数のパラメータのデータを、捕捉された前記少なくとも1つのデータベースクエリの表現式のデータとパターン照合することを含む、方法。
〔態様5〕
態様3に記載の方法において、前記活動を探査する前記過程が、さらに、
前記ウェブフェーシングアプリケーションのフレームワークで受信されたデータパケットを実行時に捕捉すること、
抽出された前記データセット内における、捕捉された前記第1の関数セットのうちの適合した前記サブセットおよび捕捉された前記第2の関数セットのうちの適合した前記サブセットそれぞれの起動される関数を前記データセット内に捕捉し、捕捉された前記データベースクエリそれぞれの起動されるデータベースクエリを前記データセット内に実行時に捕捉すること、
前記第1の関数セットの起動される関数ごとに、前記第2の関数セットのマッピングされた前記サブセットの起動と、マッピングされた前記少なくとも1つのデータベースクエリの起動とがないかを調べること、
前記第2の関数セットのマッピングされた前記サブセットとマッピングされた少なくとも1つのデータクエリとのうちの少なくとも一方が起動されない場合にセキュリティ攻撃と断定すること、
を含む、方法。
〔態様6〕
態様2に記載の方法において、(i)前記第1の関数セットの前記サブセットが、前記フレームワークのビジネスロジック層へのインターフェースで前記フレームワークによって起動され、(ii)前記第2の関数セットの前記サブセットが、前記フレームワークの前記ビジネスロジック層からのインターフェースで前記フレームワークによって起動される、方法。
〔態様7〕
態様1に記載の方法において、捕捉された前記第1の関数セットの前記サブセットを照合する前記過程が、捕捉された前記第1の関数セットの前記サブセットにおける少なくとも1つの捕捉された関数のパラメータにおけるデータを、前記データパケットのフィールドのデータとパターン照合することを含む、方法。
〔態様8〕
態様1に記載の方法において、データストリームを捕捉する前記過程が、さらに、前記データストリームを前記フレームワークのプロトコル構成に基づいて復号することを含む、方法。
〔態様9〕
態様1に記載の方法において、さらに、
前記データストリームの処理から、ユーザ、ユーザデータ、セッション情報、IPアドレス、ポート番号、プロトコルコンテキスト、スレッドID、スレッドコンテキスト、メモリへの読み書きの命令のアドレス、オペレートされるメモリの範囲、およびトラフィック方向のうちの少なくとも1つを、前記ウェブフェーシングアプリケーションの活動を探査するために、抽出された前記データセットに抽出する過程、
を備える、方法。
〔態様10〕
態様1に記載の方法において、前記フレームワークが、バイナリ言語、.NET言語、JAVA(登録商標)言語、PHP言語、Ruby言語およびPython言語のうちの少なくとも1つに従って構成されている、方法。
〔態様11〕
態様1に記載の方法において、さらに、
前記フレームワークにおける前記データストリームの処理の間に各メモリアクセスのコンテンツを捕捉する過程と、
捕捉された前記第1の関数セットおよび捕捉された第2の関数セットの命令であって、ユーザデータを処理するのに用いられる命令を特定するように、抽出された前記データセットを捕捉された各メモリアクセスと比較する過程と、
特定された前記命令のチェーンを作成する過程であって、作成された前記チェーンは、前記ウェブフェーシングアプリケーションにおける脆弱性を表すように前記データセットに抽出される、過程と、
前記作成されたチェーンを監視することにより、実行時に前記ウェブフェーシングアプリケーションの前記活動を探査する過程であって、捕捉された各関数の出力にユーザコンテンツを付加すること、および捕捉された各関数の入力からコンテキストを除去することを含む、探索する過程と、
を備える、方法。
〔態様12〕
ウェブフェーシングアプリケーションのフレームワークで受信されたデータストリームを捕捉するように構成された第1のトラフィックアナライザと、
前記データストリームを処理する前記フレームワークによって起動される第1の関数セットを捕捉するように構成された第1のプロファイラと、
捕捉された前記第1の関数セットのサブセットを、捕捉された前記データストリームのデータパケットと照合し、かつ、捕捉された前記第1の関数セットのうちの適合したサブセットをデータセットに抽出するように構成されたパターン照合エンジンと、
セキュリティ攻撃を検知するために、抽出された前記データセットに基づいて前記ウェブフェーシングアプリケーションの活動を監視するように構成されたプローブと、
を備える、コンピュータシステム。
〔態様13〕
態様12に記載のシステムにおいて、さらに、
前記データストリームを処理する前記フレームワークによって起動される第2の関数セットを捕捉するように構成された第2のプロファイラと、
データベースサーバへのデータベースクエリであって、前記フレームワークにより生成されるデータベースクエリを捕捉するように構成された第2のトラフィックアナライザと、
を備え、
前記パターン照合エンジンが、さらに、
捕捉された少なくとも1つの前記データベースクエリを、捕捉された前記第2の関数セットのサブセットと照合し、かつ、
捕捉されたデータベースクエイルであって、適合した少なくとも1つの前記データベースクエリと、捕捉された前記第2の関数セットの前記サブセットとを、抽出された前記データセットに抽出するように構成されている、システム。
〔態様14〕
態様13に記載のシステムにおいて、
前記パターンマッチングエンジンが、さらに、
適合した前記データパケット、捕捉された前記第1の関数セットのうちの適合した前記サブセット、捕捉された前記第2の関数セットのうちの適合した前記サブセット、および適合した前記少なくとも1つのデータベースクエリの間の関係を相関し、かつ、
抽出された前記データセット内における、適合した前記データパケット、捕捉された前記第1の関数セットのうちの適合した前記サブセット、捕捉された前記第2の関数セットのうちの適合した前記サブセット、および適合した前記少なくとも1つのデータベースクエリを、相関された前記関係に基づいてマッピングするように構成されており、
前記相関は、捕捉された前記第1の関数セットのうちの適合した前記サブセット、捕捉された前記第2の関数セットのうちの適合した前記サブセット、および適合した前記少なくとも1つのデータベースクエリを処理するのに用いられるスレッドを追跡することに基づき、
前記プローブが、さらに、前記ウェブフェーシングアプリケーションの活動を、抽出された前記データセット内における、適合した前記データパケット、捕捉された前記第1の関数セットのうちの適合した前記サブセット、捕捉された前記第2の関数セットのうちの適合した前記サブセット、および適合した前記少なくとも1つのデータベースクエリのマッピングに基づいて監視するように構成されている、システム。
〔態様15〕
態様14に記載のシステムにおいて、さらに、
ウェブフェーシングアプリケーションのフレームワークで受信されたデータパケットを実行時に捕捉するように構成された第3のトラフィックアナライザと、
捕捉された前記第1の関数セットのうちの適合した前記サブセットの起動される各関数を実行時に捕捉するように構成されたる第3のプロファイラと、
抽出された前記データセット内における、捕捉された前記第2の関数セットのうちの適合した前記サブセットの起動される各関数を前記データセット内に実行時に捕捉するように構成された第4のプロファイラと、
捕捉された前記データベースクエリのうち起動される各データベースクエリを前記データセット内に実行時に捕捉するように構成された第4のトラフィックアナライザと、
を備え、
前記プローブが、さらに、
前記第1の関数セットの起動される関数ごとに、前記第2のセットの関数のマッピングされた前記サブセットの起動と、マッピングされた前記少なくとも1つのデータベースクエリの起動とがないかを調べ、かつ、
前記第2の関数セットの前記マッピングされたサブセットとマッピングされた少なくとも1つのデータクエリとのうちの少なくとも一方が起動されなかった場合にセキュリティ攻撃と断定するように構成されている、システム。
〔態様16〕
態様14に記載のシステムにおいて、捕捉された前記少なくとも1つのデータベースクエリを照合することが、捕捉された前記第2の関数セットのパラメータにおけるデータを、捕捉された前記少なくとも1つのデータベースクエリの表現式のデータとパターン照合することを含む、システム。
〔態様17〕
態様12に記載のシステムにおいて、前記第1の関数セットを照合することが、前記第1の関数セットのパラメータにおけるデータを、前記データパケットのフィールドのデータとパターン照合することを含む、システム。
〔態様18〕
態様12に記載のシステムにおいて、(i)前記第1の関数セットの前記サブセットが、前記フレームワークのビジネスロジック層へのインターフェースで前記フレームワークによって起動され、(ii)前記第2の関数セットの前記サブセットが、前記フレームワークの前記ビジネスロジック層からのインターフェースで前記フレームワークによって起動される、システム。
〔態様19〕
態様12に記載のシステムにおいて、前記第1のトラフィックアナライザが、さらに、前記データストリームを前記フレームワークのプロトコル構成に基づいて復号するように構成されている、システム。
〔態様20〕
態様12に記載のシステムにおいて、前記パターンマッチングエンジンが、さらに、前記データストリームの処理から、ユーザ、ユーザデータ、セッション情報、IPアドレス、ポート番号、プロトコルコンテキスト、スレッドID、スレッドコンテキスト、メモリへの読み書きの命令のアドレス、オペレートされるメモリの範囲、およびトラフィック方向のうちの少なくとも1つを、前記ウェブフェーシングアプリケーションの活動を探査するために、抽出された前記データセットに抽出するように構成されている、システム。
〔態様21〕
態様12に記載のシステムにおいて、前記フレームワークが、バイナリ言語、.NET言語、JAVA(登録商標)言語、PHP言語、Ruby言語およびPython言語のうちの少なくとも1つに従って構成されている、システム。
〔態様22〕
態様12に記載のシステムにおいて、前記第1のプロファイラおよび第2のプロファイラが、さらに、前記フレームワークにおける前記データストリームの処理の間に各メモリアクセスのコンテンツを捕捉するように構成され、
前記パターンマッチングエンジンが、さらに、
捕捉された前記関数の命令であって、ユーザデータを処理するのに用いられる命令を特定するように、抽出された前記データセットを捕捉された各メモリアクセスと比較し、かつ、
特定された前記命令のチェーンを作成するように構成されており、
作成された前記チェーンは、前記ウェブフェーシングアプリケーションにおける脆弱性を表すように前記データセットに抽出され、
前記プローブが、さらに、前記作成されたチェーンを実行時に監視することにより、前記ウェブフェーシングアプリケーションの前記活動を監視するように構成され、当該監視が、捕捉された各関数の出力にユーザコンテンツを付加すること、捕捉された各関数の入力からコンテキストを除去すること、およびこれら付加および除去を解析エンジンに報告することを含む、システム。 Although the present invention has been specifically illustrated and described with reference to exemplary embodiments, those skilled in the art will appreciate that various forms and details are possible without departing from the scope of the invention as set forth in the appended claims. It will be appreciated that various changes may be made.
The present invention includes the following contents as embodiments.
[Aspect 1]
A method implemented on a computer,
Capturing the data stream received by the web facing application framework;
Capturing a first function set of functions invoked by the framework for processing the data stream;
Matching the captured subset of the first set of functions with data packets of the captured data stream;
Extracting the matched subset of the captured first function set and the data of the data packet into a data set;
Exploring the activity of the web facing application based on the extracted data set to detect a security attack;
A method comprising:
[Aspect 2]
The method according to aspect 1, further comprising:
Capturing a second function set of functions invoked by the framework for processing the data stream;
Capturing a database query to a database server, wherein the database query is generated by the framework;
Matching the captured at least one database query with a captured subset of the second set of functions;
Extracting a captured database query, the at least one matched database query and the matched subset of the captured second set of functions into the extracted data set;
A method comprising:
[Aspect 3]
The method according to aspect 2, further comprising:
Between the matched data packet, the matched subset of the captured first function set, the matched subset of the captured second function set, and the at least one database query Correlating a relationship, wherein the matched subset of the captured first function set, the matched subset of the captured second function set, and the at least one database query are Correlating, based on tracking the threads used to process,
Within the data set, the matched data packet, the matched subset of the captured first function set, the matched subset of the captured second function set, and the at least one Mapping two database queries based on the correlated relationships;
The activity of the web-facing application is determined by comparing the matched data packet, the matched subset of the captured first function set, and the captured second function set in the extracted data set. Exploring based on the matched subset of the and the mapping of the at least one database query;
A method comprising:
[Aspect 4]
4. The method according to aspect 3, wherein the step of matching the captured at least one database query comprises: data of at least one captured function parameter data in the captured subset of the second function set. A method comprising pattern-matching captured at least one database query expression data.
[Aspect 5]
The method according to aspect 3, wherein the step of exploring the activity further comprises:
Capturing at runtime the data packets received in the web facing application framework;
In the extracted data set, the activated function of each of the matched subset of the captured first function set and the matched subset of the captured second function set is Capturing in a dataset a triggered database query of each of the captured database queries at runtime in the dataset;
Examining, for each invoked function of the first function set, an activation of the mapped subset of the second function set and an activation of the mapped at least one database query;
Asserting a security attack if at least one of the mapped subset of the second function set and the mapped at least one data query is not activated;
Including, methods.
[Aspect 6]
3. The method according to aspect 2, wherein (i) the subset of the first set of functions is invoked by the framework at an interface to a business logic layer of the framework; and (ii) the subset of the second set of functions. The method wherein the subset is invoked by the framework at an interface from the business logic layer of the framework.
[Aspect 7]
2. The method according to aspect 1, wherein the step of matching the subset of the captured first function set comprises: at least one captured function parameter in the subset of the captured first function set. A method comprising pattern matching data with data in fields of said data packet.
[Aspect 8]
The method of claim 1, wherein the step of capturing a data stream further comprises decoding the data stream based on a protocol configuration of the framework.
[Aspect 9]
The method according to aspect 1, further comprising:
From the processing of the data stream, the user, user data, session information, IP address, port number, protocol context, thread ID, thread context, address of instruction to read / write to memory, range of operated memory, and traffic direction Extracting at least one of them to the extracted data set to explore the activity of the web facing application;
A method comprising:
[Aspect 10]
2. The method according to aspect 1, wherein the framework comprises a binary language,. A method configured according to at least one of a NET language, a JAVA language, a PHP language, a Ruby language, and a Python language.
[Aspect 11]
The method according to aspect 1, further comprising:
Capturing the content of each memory access during processing of the data stream in the framework;
The instructions of the first set of captured functions and the second set of captured functions, wherein the extracted data sets were captured to identify instructions used to process user data. Comparing with each memory access,
Creating a chain of the identified instructions, wherein the created chain is extracted into the dataset to represent a vulnerability in the web facing application.
Probing the activity of the web facing application at run time by monitoring the created chain, adding user content to the output of each captured function, and Exploring, including removing context from the input;
A method comprising:
[Aspect 12]
A first traffic analyzer configured to capture a data stream received by a web facing application framework;
A first profiler configured to capture a first set of functions invoked by the framework for processing the data stream;
Matching a subset of the captured first function set with data packets of the captured data stream and extracting a matched subset of the captured first function set into a data set. And a pattern matching engine configured in
A probe configured to monitor the activity of the web facing application based on the extracted data set to detect a security attack;
A computer system comprising:
[Aspect 13]
The system according to aspect 12, further comprising:
A second profiler configured to capture a second set of functions invoked by the framework for processing the data stream;
A second traffic analyzer configured to capture a database query to a database server, wherein the database query is generated by the framework;
With
The pattern matching engine further comprises:
Matching at least one of the captured database queries against a subset of the captured second set of functions;
A captured database query configured to extract at least one of the matched database queries and the captured subset of the second set of functions into the extracted data set. ,system.
[Aspect 14]
The system according to aspect 13, wherein
The pattern matching engine further comprises:
The matched data packet, the matched subset of the captured first function set, the matched subset of the captured second function set, and the matched at least one database query. Correlate the relationship between, and
A matched data packet, a matched subset of the captured first function set, a matched subset of the captured second function set, in the extracted data set; Configured to map the matched at least one database query based on the correlated relationship;
The correlation processes the matched subset of the captured first function set, the matched subset of the captured second function set, and the matched at least one database query. Based on tracking the threads used for
The probe may further determine the activity of the web-facing application in the extracted data set, the matched data packet, the matched subset of the captured first function set, the captured A system configured to monitor based on a mapping of the matched subset of the second set of functions and the matched at least one database query.
[Aspect 15]
The system according to aspect 14, further comprising:
A third traffic analyzer configured to capture at run-time data packets received by the web facing application framework;
A third profiler configured to capture each invoked function of the adapted subset of the captured first function set at runtime;
A fourth profiler configured to capture, at runtime, each activated function of the matched subset of the captured second set of functions in the extracted data set; When,
A fourth traffic analyzer configured to capture at runtime each database query activated of the captured database queries in the dataset;
With
The probe further comprises:
Examining, for each invoked function of the first set of functions, the activation of the mapped subset of the functions of the second set and the activation of the at least one mapped database query; and ,
A system configured to determine a security attack if at least one of the mapped subset of the second function set and the at least one mapped data query has not been activated.
[Aspect 16]
15. The system according to aspect 14, wherein matching the captured at least one database query comprises retrieving data in parameters of the captured second function set by an expression of the captured at least one database query. A system that includes pattern matching with the data in the system.
[Aspect 17]
13. The system of aspect 12, wherein matching the first function set comprises pattern matching data in parameters of the first function set with data in fields of the data packet.
[Aspect 18]
13. The system according to aspect 12, wherein (i) the subset of the first set of functions is invoked by the framework at an interface to a business logic layer of the framework, and (ii) the subset of the second set of functions. The system wherein the subset is invoked by the framework at an interface from the business logic layer of the framework.
[Aspect 19]
13. The system according to aspect 12, wherein the first traffic analyzer is further configured to decode the data stream based on a protocol configuration of the framework.
[Aspect 20]
13. The system according to aspect 12, wherein the pattern matching engine further reads and writes from the processing of the data stream to a user, user data, session information, an IP address, a port number, a protocol context, a thread ID, a thread context, and a memory. At least one of an address of an instruction, a range of memory to be operated on, and a traffic direction of the web facing application is configured to be extracted into the extracted data set for probing the activity of the web facing application. ,system.
[Aspect 21]
13. The system according to aspect 12, wherein the framework comprises a binary language,. A system configured according to at least one of a NET language, a JAVA language, a PHP language, a Ruby language, and a Python language.
[Aspect 22]
The system according to aspect 12, wherein the first profiler and the second profiler are further configured to capture the content of each memory access during processing of the data stream in the framework;
The pattern matching engine further comprises:
Comparing the extracted data set with each captured memory access to identify instructions of the captured function that are used to process user data; and
Configured to create a chain of the identified instructions;
The created chain is extracted into the dataset to represent a vulnerability in the web facing application,
The probe is further configured to monitor the activity of the web facing application by monitoring the created chain at runtime, the monitoring adding user content to an output of each captured function. Systems, removing context from the input of each captured function, and reporting these additions and removals to an analysis engine.

Claims (1)

請求項12に記載のシステムにおいて、さらに、
前記データストリームを処理する前記フレームワークによって起動される第2の関数セットを捕捉するように構成された第2のプロファイラと、
データベースサーバへのデータベースクエリであって、前記フレームワークにより生成されるデータベースクエリを捕捉するように構成された第2のトラフィックアナライザと、
を備え、
前記パターン照合エンジンが、さらに、
捕捉された少なくとも1つの前記データベースクエリを、捕捉された前記第2の関数セットのサブセットと照合し、かつ、
捕捉されたデータベースクエであって、適合した少なくとも1つの前記データベースクエリと、捕捉された前記第2の関数セットの前記サブセットとを、抽出された前記データセットに抽出するように構成されている、システム。 The system of claim 12, further comprising:
A second profiler configured to capture a second set of functions invoked by the framework for processing the data stream;
A second traffic analyzer configured to capture a database query to a database server, wherein the database query is generated by the framework;
With
The pattern matching engine further comprises:
Matching at least one of the captured database queries against a subset of the captured second set of functions;
A captured database query, at least one of said database query matched, and is configured so that said subset of captured the second set of functions, extracts the extracted the data set ,system.
JP2018538236A 2016-01-22 2017-01-20 Pattern matching based dataset extraction Active JP6902037B2 (en)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US201662286282P 2016-01-22 2016-01-22
US62/286,282 2016-01-22
PCT/US2017/014354 WO2017127691A1 (en) 2016-01-22 2017-01-20 Pattern matching based dataset extraction

Publications (3)

Publication Number Publication Date
JP2019506674A JP2019506674A (en) 2019-03-07
JP2019506674A5 true JP2019506674A5 (en) 2020-02-27
JP6902037B2 JP6902037B2 (en) 2021-07-14

Family

ID=58191561

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018538236A Active JP6902037B2 (en) 2016-01-22 2017-01-20 Pattern matching based dataset extraction

Country Status (9)

Country Link
US (1) US10382465B2 (en)
EP (1) EP3405902B1 (en)
JP (1) JP6902037B2 (en)
KR (1) KR20180120157A (en)
CN (1) CN108780485B (en)
AU (1) AU2017210221B2 (en)
CA (1) CA3012193A1 (en)
DK (1) DK3405902T3 (en)
WO (1) WO2017127691A1 (en)

Families Citing this family (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10200369B1 (en) * 2016-02-16 2019-02-05 Symantec Corporation Systems and methods for dynamically validating remote requests within enterprise networks
US11068453B2 (en) * 2017-03-09 2021-07-20 data.world, Inc Determining a degree of similarity of a subset of tabular data arrangements to subsets of graph data arrangements at ingestion into a data-driven collaborative dataset platform
US10606502B2 (en) * 2017-07-05 2020-03-31 Sap Se Data aging infrastructure for automatically determining aging temperature
US10698752B2 (en) 2017-10-26 2020-06-30 Bank Of America Corporation Preventing unauthorized access to secure enterprise information systems using a multi-intercept system
US10628591B2 (en) * 2017-11-20 2020-04-21 Forcepoint Llc Method for fast and efficient discovery of data assets
US11025638B2 (en) 2018-07-19 2021-06-01 Forcepoint, LLC System and method providing security friction for atypical resource access requests
US11134087B2 (en) 2018-08-31 2021-09-28 Forcepoint, LLC System identifying ingress of protected data to mitigate security breaches
US11171980B2 (en) 2018-11-02 2021-11-09 Forcepoint Llc Contagion risk detection, analysis and protection
US11245723B2 (en) 2018-11-02 2022-02-08 Forcepoint, LLC Detection of potentially deceptive URI (uniform resource identifier) of a homograph attack
US11295026B2 (en) 2018-11-20 2022-04-05 Forcepoint, LLC Scan, detect, and alert when a user takes a photo of a computer monitor with a mobile phone
US11297099B2 (en) 2018-11-29 2022-04-05 Forcepoint, LLC Redisplay computing with integrated data filtering
US11050767B2 (en) 2018-12-17 2021-06-29 Forcepoint, LLC System for identifying and handling electronic communications from a potentially untrustworthy sending entity
US10984113B1 (en) * 2018-12-18 2021-04-20 NortonLifeLock Inc. Identifying and protecting against a computer security threat while preserving privacy of individual client devices using differential privacy machine learning for streaming data
US11379426B2 (en) 2019-02-05 2022-07-05 Forcepoint, LLC Media transfer protocol file copy detection
US11562093B2 (en) 2019-03-06 2023-01-24 Forcepoint Llc System for generating an electronic security policy for a file format type
US10868892B1 (en) 2019-05-31 2020-12-15 Micro Focus Llc Replacement code implementing full-duplex communication channel protocol for message interception
CN112688793B (en) * 2019-10-18 2023-01-03 北京字节跳动网络技术有限公司 Data packet obtaining method and device and electronic equipment
US11588829B2 (en) * 2020-05-07 2023-02-21 Mcafee, Llc Methods and apparatus for network detection of malicious data streams inside binary files
US20220075877A1 (en) 2020-09-09 2022-03-10 Self Financial, Inc. Interface and system for updating isolated repositories
US11641665B2 (en) 2020-09-09 2023-05-02 Self Financial, Inc. Resource utilization retrieval and modification
US11475010B2 (en) * 2020-09-09 2022-10-18 Self Financial, Inc. Asynchronous database caching
US11470037B2 (en) 2020-09-09 2022-10-11 Self Financial, Inc. Navigation pathway generation
CN115129687A (en) * 2022-03-16 2022-09-30 希望知舟技术(深圳)有限公司 Abnormal condition database management-based method, related device, medium and program
CN115688071B (en) * 2022-12-29 2023-03-17 深圳市光速时代科技有限公司 Processing method and system for preventing smart watch information from being tampered

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6782478B1 (en) 1999-04-28 2004-08-24 Thomas Probert Techniques for encoding information in computer code
US20110238855A1 (en) * 2000-09-25 2011-09-29 Yevgeny Korsunsky Processing data flows with a data flow processor
US7941849B2 (en) 2003-03-21 2011-05-10 Imprivata, Inc. System and method for audit tracking
US20080229415A1 (en) 2005-07-01 2008-09-18 Harsh Kapoor Systems and methods for processing data flows
JP2007334536A (en) * 2006-06-14 2007-12-27 Securebrain Corp Behavior analysis system for malware
US8249350B2 (en) * 2006-06-30 2012-08-21 University Of Geneva Brand protection and product autentication using portable devices
JP4995170B2 (en) * 2008-10-06 2012-08-08 日本電信電話株式会社 Fraud detection method, fraud detection device, fraud detection program, and information processing system
US9230455B2 (en) 2009-12-11 2016-01-05 Digital Immunity Llc Steganographic embedding of executable code
WO2011139302A2 (en) 2009-12-11 2011-11-10 Probert Thomas H Steganographic messaging system using code invariants
US8578487B2 (en) * 2010-11-04 2013-11-05 Cylance Inc. System and method for internet security
US20130238548A1 (en) * 2011-01-25 2013-09-12 Muthian George Analytical data processing
US20130160130A1 (en) * 2011-12-20 2013-06-20 Kirill Mendelev Application security testing

Similar Documents

Publication Publication Date Title
JP2019506674A5 (en)
CN111277578B (en) Encrypted flow analysis feature extraction method, system, storage medium and security device
WO2021082339A1 (en) Machine learning and rule matching integrated security detection method and device
CN109450842B (en) Network malicious behavior recognition method based on neural network
US11258813B2 (en) Systems and methods to fingerprint and classify application behaviors using telemetry
Dong et al. Real-time network intrusion detection system based on deep learning
US9386028B2 (en) System and method for malware detection using multidimensional feature clustering
Cao et al. Machine learning to detect anomalies in web log analysis
US9256831B2 (en) Match engine for detection of multi-pattern rules
Yihunie et al. Applying machine learning to anomaly-based intrusion detection systems
WO2016095626A1 (en) Process monitoring method and device
CN111787017B (en) Block chain attack tracing system and method
US9485263B2 (en) Volatility-based classifier for security solutions
US10440035B2 (en) Identifying malicious communication channels in network traffic by generating data based on adaptive sampling
CN108337266B (en) Efficient protocol client vulnerability discovery method and system
CN113645232A (en) Intelligent flow monitoring method and system for industrial internet and storage medium
CN113542311B (en) Method for detecting and backtracking defect host in real time
CN111049783A (en) Network attack detection method, device, equipment and storage medium
CN111464526A (en) Network intrusion detection method, device, equipment and readable storage medium
Roschke et al. High-quality attack graph-based IDS correlation
Liu et al. Loocipher ransomware detection using lightweight packet characteristics
Hostiadi et al. B-Corr Model for Bot Group Activity Detection Based on Network Flows Traffic Analysis.
CN111641589A (en) Advanced sustainable threat detection method, system, computer and storage medium
Chen et al. Malpro: Learning on process-aware behaviors for malware detection
Yassin et al. Packet header anomaly detection using statistical analysis